JP2021082080A - 通信監視装置、通信監視システムおよび通信監視方法 - Google Patents

通信監視装置、通信監視システムおよび通信監視方法 Download PDF

Info

Publication number
JP2021082080A
JP2021082080A JP2019209909A JP2019209909A JP2021082080A JP 2021082080 A JP2021082080 A JP 2021082080A JP 2019209909 A JP2019209909 A JP 2019209909A JP 2019209909 A JP2019209909 A JP 2019209909A JP 2021082080 A JP2021082080 A JP 2021082080A
Authority
JP
Japan
Prior art keywords
service
communication
information
terminal
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019209909A
Other languages
English (en)
Inventor
龍輔 黛
Ryusuke Mayuzumi
龍輔 黛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2019209909A priority Critical patent/JP2021082080A/ja
Publication of JP2021082080A publication Critical patent/JP2021082080A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】不特定の利用者からサービスの対価を得る。【解決手段】通信監視装置10は、端末と外部との通信を監視し、通信に含まれる不正情報を検知した場合に、検知した不正情報の通信を遮断するサービスを実行するサービス実行部13と、サービス実行部13が不正情報の通信を遮断すると、サービスの実行ごとに定められた利用料を示す情報が格納された記憶部11を参照し、利用料を情報処理装置に決済させる決済部14と、を備える。【選択図】図4

Description

本発明は、通信監視装置、通信監視システムおよび通信監視方法に関する。
従来から、ネットワークにおいて通信を監視してセキュリティを確保する技術が開発されている。近年、不特定の利用者が利用する公衆ネットワークが普及してきており、公衆ネットワークにおけるセキュリティの確保が必要となっている。
事業者は、公衆ネットワークにおいてセキュリティを確保するサービスを提供するために、設備投資が必要となる。したがって、事業者にとっては、設備投資に見合うだけのサービスの対価を、不特定の利用者から得ることが望ましい。
開示の技術は、不特定の利用者からサービスの対価を得ることを目的とする。
通信監視装置は、端末と外部との通信を監視し、通信に含まれる不正情報を検知した場合に、検知した不正情報の通信を遮断するサービスを実行するサービス実行部と、サービス実行部が不正情報の通信を遮断すると、サービスの実行ごとに定められた利用料を示す情報が格納された記憶部を参照し、利用料を情報処理装置に決済させる決済部と、を備える。
不特定の利用者からサービスの対価を得る。
第一の実施形態に係る通信監視システムのシステム構成の一例を示す図である。 第一の実施形態に係る通信監視装置のハードウェア構成の一例を示す図である。 第一の実施形態に係る端末のハードウェア構成の一例を示す図である。 第一の実施形態に係る通信監視装置の機能を説明する図である。 第一の実施形態に係るサービステーブルの一例を示す図である。 第一の実施形態に係る利用サービステーブルの一例を示す図である。 第一の実施形態に係る処理のシーケンスの一例を示す図である。 第一の実施形態に係る通信監視処理のフローチャートである。 第二の実施形態に係る処理のシーケンスの一例を示す図である。 第二の実施形態に係る通信監視処理のフローチャートである。
(第一の実施形態)
以下に、図面を参照して本発明の実施の形態について説明する。本実施形態に係る通信監視システム1は、図1に示すように、通信監視装置10と、無線親機20と、端末30と、情報処理装置40と、DHCP(Dynamic Host Configuration Protocol)サーバ50と、通信中継器60と、を備える。
通信監視装置10は、サーバ70等の外部機器から端末30への通信を監視するセキュリティサービスを実行する。本実施形態において、セキュリティサービスとは、安全性を向上させるために提供される各種の機能である。また、通信監視装置10は、セキュリティサービスを実行すると、スマートコントラクトを利用した仮想通貨の送金によって、利用料を決済する。
なお、スマートコントラクトとは、ブロックチェーン等の分散型の台帳に契約内容を定義したデータを登録しておき、そのデータに基づいて自動的に契約の締結が為される仕組みである。以下では、契約内容を定義したデータを契約定義データと呼ぶ。契約定義データは、具体的には、契約条件と、当該契約条件を満たした場合に実行する処理内容とが、記述されたデータである。
また、台帳は、分散型台帳技術(DLT:Distributed Ledger Technology)によって、ノードと呼ばれる複数の装置に分散して管理されるデータベースである。以下、本実施形態では分散型台帳がブロックチェーンである例を示す。ブロックチェーンの各ノードは、アカウントの生成、削除等の処理を行うことができる。
また、仮想通貨とは、特定の国家による価値の保証がされていないデジタル通貨である。ブロックチェーンには、アカウントごとに仮想通貨が管理されている。ブロックチェーンを共有するノードのいずれかが、ブロックチェーンに記録された仮想通貨の取引を承認することによって、アカウント間の送金等の価値の移転が実質的に確定される。
無線親機20は、インターネットを介してサーバ70等との通信を可能にする無線ネットワークを、端末30に提供する通信中継装置である。通信監視装置10と無線親機20とは、有線または無線のLAN(Local Area Network)、イントラネット等のネットワークを介して通信可能に接続されている。
端末30は、スマートフォン、携帯電話、PDA(Personal Digital Assistant)等の情報を通信可能な端末である。端末30は、無線親機20が設定した無線ネットワークに接続して、インターネット80を介してサーバ70、情報処理装置40等と通信する。
情報処理装置40は、ブロックチェーンの台帳を管理する装置である。情報処理装置40は、ブロックチェーンのノードとして機能し、台帳にトランザクションデータを追加することができる。トランザクションデータは、仮想通貨の取引等を表すデータである。情報処理装置40は、インターネット80、通信中継器60等を介して、通信監視装置10、無線親機20等と通信可能に接続されている。
DHCPサーバ50は、DHCPによって端末30等にIP(Internet Protocol)アドレスの割り当てを行うサーバである。
通信中継器60は、通信を中継するゲートウェイ等である。通信中継器60は、ローカルIPアドレスとグローバルIPアドレスを変換するNAT(Network Address Translation)等の機能を有していても良い。
サーバ70は、各種の情報を提供するサーバである。サーバ70は、インターネット80、通信中継器60、通信監視装置10等を介して、端末30に情報を送信する。
次に、本実施形態に係る通信監視システム1が備える各装置のハードウェア構成について説明する。
通信監視装置10は、図2に示すように、コンピュータによって構築されており、CPU101、ROM102、RAM103、HD104、HDD(Hard Disk Drive)コントローラ105、ディスプレイ106、外部機器接続I/F(Interface)108、ネットワークI/F109、バスライン110、キーボード111、ポインティングデバイス112、DVD−RW(Digital Versatile Disk Rewritable)ドライブ114、メディアI/F116を備えている。
これらのうち、CPU101は、通信監視装置10全体の動作を制御する。ROM102は、IPL(Initial Program Loader)等のCPU101の駆動に用いられるプログラムを記憶する。RAM103は、CPU101のワークエリアとして使用される。HD104は、ゲストネットワーク作成アプリケーション等のプログラムその他の各種データを記憶する。HDDコントローラ105は、CPU101の制御にしたがってHD104に対する各種データの読み出し又は書き込みを制御する。ディスプレイ106は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。
外部機器接続I/F108は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリ、プリンタ等の機器である。ネットワークI/F109は、ネットワークを利用して無線親機20等との間でデータ通信をするためのインターフェースである。バスライン110は、図2に示されているCPU101等の各構成要素を電気的に接続するためのアドレスバス、データバス等である。
また、キーボード111は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス112は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD−RWドライブ114は、着脱可能な記録媒体の一例としてのDVD−RW113に対する各種データの読み出し又は書き込みを制御する。尚、DVD−RWに限らず、DVD−R等であってもよい。メディアI/F116は、フラッシュメモリ等のメディア115に対するデータの読み出し又は書き込み(記憶)を制御する。
なお、情報処理装置40のハードウェア構成についても、通信監視装置10と同様である。
端末30は、図3に示すように、CPU301、ROM302、RAM303、EEPROM304、CMOSセンサ305、撮像素子I/F306、加速度・方位センサ307、メディアI/F309、GPS受信部311を備えている。
これらのうち、CPU301は、端末30全体の動作を制御する。ROM302は、CPU301やIPL等のCPU301の駆動に用いられるプログラムを記憶する。RAM303は、CPU301のワークエリアとして使用される。EEPROM304は、CPU301の制御にしたがって、スマートフォン用プログラム等の各種データの読み出し又は書き込みを行う。CMOS(Complementary Metal Oxide Semiconductor)センサ305は、CPU301の制御に従って被写体(主に自画像)を撮像して画像データを得る内蔵型の撮像手段の一種である。なお、CMOSセンサではなく、CCD(Charge Coupled Device)センサ等の撮像手段であってもよい。撮像素子I/F306は、CMOSセンサ305の駆動を制御する回路である。加速度・方位センサ307は、地磁気を検知する電子磁気コンパスやジャイロコンパス、加速度センサ等の各種センサである。メディアI/F309は、フラッシュメモリ等の記録メディア308に対するデータの読み出し又は書き込み(記憶)を制御する。GPS受信部311は、GPS衛星からGPS信号を受信する。
また、端末30は、遠距離通信回路312、CMOSセンサ313、撮像素子I/F314、マイク315、スピーカ316、音入出力I/F317、ディスプレイ318、外部機器接続I/F(Interface)319、近距離通信回路320、近距離通信回路320のアンテナ320a、及びタッチパネル321を備えている。
これらのうち、遠距離通信回路312は、無線ネットワークを介して、無線親機20等の機器と通信する回路である。CMOSセンサ313は、CPU301の制御に従って被写体を撮像して画像データを得る内蔵型の撮像手段の一種である。撮像素子I/F314は、CMOSセンサ313の駆動を制御する回路である。マイク315は、音を電気信号に変える内蔵型の回路である。スピーカ316は、電気信号を物理振動に変えて音楽や音声などの音を生み出す内蔵型の回路である。音入出力I/F317は、CPU301の制御に従ってマイク315及びスピーカ316との間で音信号の入出力を処理する回路である。ディスプレイ318は、被写体の画像や各種アイコン等を表示する液晶や有機EL(Electro Luminescence)などの表示手段の一種である。外部機器接続I/F319は、各種の外部機器を接続するためのインターフェースである。近距離通信回路320は、NFC(Near Field Communication)やBluetooth(登録商標)等の通信回路である。タッチパネル321は、利用者がディスプレイ318を押下することで、端末30を操作する入力手段の一種である。
また、端末30は、バスライン310を備えている。バスライン310は、図3に示されているCPU301等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
次に、図4を参照して、通信監視装置10が備える機能について説明する。
本実施形態に係る通信監視装置10は、記憶部11と、サービス設定部12と、サービス実行部13と、決済部14と、を備える。
記憶部11は、後述する各種処理を実行するためのプログラムと設定情報とを記憶する。前述のROM102、RAM103、HD104等は、それぞれ記憶部11として機能する。
設定情報は、プログラムの動作を規定するための情報であって、具体的には、提供者用のアカウントIDと、サービステーブルSTと、利用サービステーブルRTとを含む。
提供者用のアカウントIDは、提供者用のアカウント(第1のアカウント)を識別するための識別子である。提供者用のアカウントは、セキュリティサービスの提供者によって、あらかじめブロックチェーン上に生成されるアカウントである。
セキュリティサービスの提供者は、提供者用のアカウントに仮想通貨の送金を受けることによって、セキュリティサービスの利用料を決済することができる。
サービステーブルSTは、RDB(Relational Database)のテーブルである。サービステーブルSTの各レコードは、あらかじめ与えられている。サービステーブルSTは、図5に示すように、項目として、「サービス名」と、「サービスID(Identifier)」と、「サービス利用料」と、を含む。
項目「サービス名」の値は、セキュリティサービスの名称を表す。項目「サービスID」の値は、セキュリティサービスを識別する識別子を表す。また、項目「サービス利用料」の値は、セキュリティサービスの利用料を仮想通貨の単位で表した数値である。
それぞれのセキュリティサービスは、通信を監視して不正を検知し、検知した不正が端末30に影響を与えることを防止するサービスである。セキュリティサービスの利用料は、セキュリティサービスの実行に対する対価である。具体的には、セキュリティサービスの利用料は、実際に不正なデータを検知した場合に、検知した不正なデータの通信を遮断すると、端末30の利用者に課金される。
利用サービステーブルRTは、RDBのテーブルである。利用サービステーブルRTの各レコードは、サービス設定部12の処理によって生成される。
利用サービステーブルRTは、図6に示すように、項目として、「IPアドレス」と、「利用サービスID」と、「利用者用アカウントID」と、「利用中フラグ」と、「預り金用アカウントID」と、を含む。
項目「IPアドレス」の値は、セキュリティサービスを利用する端末30のIPアドレスを表す。
項目「利用サービスID」の値は、端末30が利用するセキュリティサービスのサービスIDを表す。なお、1つの端末30の利用サービスIDは、1つでも複数でも良い。
項目「利用者用アカウントID」の値は、利用者用のアカウント(第3のアカウント)を識別するための識別子を表す。利用者用のアカウントは、端末30の利用者によって、あらかじめブロックチェーン上に生成されるアカウントである。
項目「利用中フラグ」の値は、端末30ごとにセキュリティサービスを利用しているか否かのステータスを表すフラグを表す。「ON」は利用中であり、「OFF」は利用中でないことを表す。
項目「預り金用アカウントID」の値は、預り金用のアカウント(第2のアカウント)を識別するための識別子を表す。預り金用のアカウントは、通信監視装置10のサービス設定部12が、後述する処理によってブロックチェーン上に生成するアカウントである。
なお、サービステーブルSTおよび利用サービステーブルRTは、RDBのテーブルである例を示したが、これらはそれぞれの値を対応付けた情報として管理する場合の一例であり、その他の形式によって、対応付けられた情報が管理されても良い。
後述する処理において、預り金用のアカウントには、セキュリティサービスを実行する前に、預り金として利用者用のアカウントから仮想通貨の送金を受けておく。そして、セキュリティサービスの実行後に、預り金用のアカウントから提供者用のアカウントに、利用料に相当する仮想通貨の送金を受ける。
図4に戻り、サービス設定部12は、端末30とセキュリティサービスとを対応付ける。具体的には、サービス設定部12は、利用サービステーブルRTに、IPアドレス、利用サービス等の利用サービスに関する情報を登録する。
サービス実行部13は、サービス設定部12で対応付けられたセキュリティサービスを端末30に対して実行する。具体的には、サービス実行部13は、端末30への通信を監視して、不正情報を検知した場合には、検知した不正情報の通信を遮断する。
決済部14は、サービス実行部13が実行したセキュリティサービスの利用料を、スマートコントラクトを使って、情報処理装置40に決済させる。具体的には、決済部14は、契約内容を定義した契約定義データを生成して情報処理装置40に送信する。そして、サービス実行部13がセキュリティサービスを実行すると、決済部14は、セキュリティサービスを実行した旨を情報処理装置40に通知する。
情報処理装置40は、セキュリティサービスを実行した旨の通知を受けると、契約定義データに基づいて、売買契約、すなわち利用サービスの実行の対価として利用料の支払い契約の締結および実行を行う。具体的には、情報処理装置40は、利用料に相当する仮想通貨の送金処理を実行する。
なお、前述のCPU101は、ROM102等に格納されたプログラムを読み出して実行することによって、サービス設定部12、サービス実行部13および決済部14として機能する。
次に、通信監視システム1の動作について、図面を参照して説明する。まず、各装置の間で送受信されるデータについて、図7を参照して説明する。
前提として、端末30の利用者は、利用者用のアカウント(第3のアカウント)を所有しており、所有しているアカウントのIDを知っているものとする。また、端末30の利用者は、当該アカウントに関連づけられた仮想通貨をブロックチェーン上に保有しているものとする。
さらに、提供者用のアカウント(第1のアカウント)がブロックチェーン上に作成されている。通信監視装置10の記憶部11には、提供者用のアカウントID、例えば「badsec」、が格納されている。
無線親機20の無線ネットワークの圏内において、端末30による無線ネットワークの利用を開始するための操作が行われた場合を想定する。
端末30は、利用者の操作を受けて、図7に示すように、無線親機20に接続要求信号を送信する(ステップS101)。無線親機20は、接続要求信号を受信すると、接続処理を実行する(ステップS102)。
無線親機20は、接続処理に成功すると、成功信号を端末30に送信する(ステップS103)。ステップS103の処理の後、無線親機20は、DHCP等の特定のプロトコルの通信を中継し、それ以外のプロトコルの通信を遮断して利用者による認証を促すキャプティブポータル機能が動作する状態となっている。
次に、端末30は、IPアドレスの設定を要求する信号をDHCPサーバ50に送信する(ステップS104)。DHCPサーバ50は、端末30にIPアドレスを割り当てて、割り当てたIPアドレスを通知する信号を端末30に送信する(ステップS105)。
次に、端末30は、利用者の操作を受けて、無線親機20を介して、サーバ70に対して情報の送信を要求する信号を送信する(ステップS106)。情報送信要求信号は、例えば、HTTP(Hypertext Transfer Protocol)リクエストの信号である。
無線親機20は、キャプティブポータル機能を動作させて、HTTPのプロトコルの通信を遮断した上で、利用者の認証を促す認証情報照会信号を端末30に送信する(ステップS107)。
端末30は、利用者の操作を受けるために、認証画面を表示する。そして、端末30は、利用者の操作を受けて入力された認証情報を、無線親機20に送信する(ステップS108)。なお、識別情報は、例えばSSID(Service Set Identifier)とパスワードの組み合わせ等であって、一時利用のために貼り紙等によって利用者に伝えられる。
無線親機20は、認証情報に基づいて利用者を認証する。認証に成功した場合、無線親機20は、サービス情報を要求する信号を、通信監視装置10に送信する(ステップS109)。サービス情報は、利用者が選択可能なセキュリティサービスを表す情報である。言い換えれば、サービス情報は、利用者が選択可能なセキュリティサービスのサービス名を示す情報である。
通信監視装置10のサービス設定部12は、サービステーブルSTの各レコードからサービス情報を抽出して無線親機20に送信する(ステップS110)。具体的には、サービス設定部12は、サービステーブルSTの各レコードから、サービス名を抽出して、無線親機20に送信する。なお、サービス情報には、サービス名の他に、サービスID、サービス利用料等が含まれていても良い。
無線親機20は、取得したサービス情報を含むサービス選択要求信号を端末30に送信する(ステップS111)。サービス選択要求信号は、セキュリティサービスの選択を要求する信号である。
次に、端末30は、サービス情報に基づいて利用可能なセキュリティサービスの一覧を画面に表示して、利用者の選択操作を促す。ここで、端末30は、利用者が所有している利用者用のアカウントIDの入力を合わせて促す画面を表示する。
そして、利用者の操作を受けると、端末30は、利用するセキュリティサービスの選択結果を表すサービス選択信号と、利用者用のアカウントIDとを、無線親機20に送信する(ステップS112)。また、無線親機20は、アクセス元のIPアドレスを特定する。
そして、無線親機20は、受信したサービス選択信号と、利用者用のアカウントIDと、特定したIPアドレスとを、通信監視装置10に送信する(ステップS113)。
通信監視装置10のサービス設定部12は、受信した情報に基づいて、利用サービステーブルRTにレコードを挿入する。ここで、サービス設定部12は、挿入するレコードの項目「利用中フラグ」の値を「OFF」とする。
例えば、端末30から受信した情報のうち、サービス選択信号が「sv001,sv002,sv003」、IPアドレスが「192.168.0.100」、利用者用のアカウントIDが「badev1」であるとする。
その場合、サービス設定部12は、利用サービステーブルRTに、項目「IPアドレス」の値が「192.168.0.100」、項目「利用サービス」の値が「sv001,sv002,sv003」、項目「利用者用アカウントID」の値が「badev1」、項目「利用中フラグ」の値が「OFF」、項目「預り金用アカウントID」の値が「(null)」のレコードを挿入する。なお、nullは、中身が無いデータを意味する。
次に、通信監視装置10のサービス設定部12は、契約定義データを情報処理装置40に送信する(ステップS114)。具体的には、サービス設定部12は、利用サービステーブルRTを参照して、契約条件と、当該契約条件を満たした場合に実行する処理内容と、が記述されたデータを、契約定義データとして生成する。
生成される契約定義データには、例えば、「通信監視装置10からセキュリティサービス(sv001)を実行した旨の通知を受信した場合、預り金用のアカウント(basm1)から提供者用のアカウント(badsec)に、(10)通貨単位を送金する。また、(sv002)の場合には(25)通貨単位を、(sv003)の場合には(18)通貨単位を送金する。」といった処理内容が、プログラム言語等の形式で規定されている。
なお、預り金用のアカウント(basm1)は、契約定義データを受信した情報処理装置40により生成されるアカウントであるため、プログラム上では変数として規定され、アカウントが生成されたときに生成されたアカウントのIDを当該変数に代入するように規定されても良い。
情報処理装置40は、受信した契約定義データを承認し、預り金用のアカウントを生成する(ステップS115)。なお、この承認によって、契約定義データは台帳に記載され、ブロックチェーン上の他のノードに送信される。
次に、情報処理装置40は、生成した預り金用のアカウントIDを通信監視装置10に送信する(ステップS116)。通信監視装置10のサービス設定部12は、受信した預り金用のアカウントIDを利用サービステーブルRTに格納する。そして、サービス設定部12は、受信した預り金用のアカウントIDを端末30に送信する(ステップS117)。
続いて、端末30は、利用者の操作を受けて、預り金送金指示信号を情報処理装置40に送信する(ステップS118)。預り金送金指示信号は、利用者用のアカウントから預り金用のアカウントに、預り金としての仮想通貨を送金する指示を表す信号である。預り金送金指示信号には、利用者用のアカウントIDと、預り金用のアカウントIDとが含まれる。情報処理装置40は、受信した信号に基づいて、送金処理を実行する。
続いて、通信監視装置10のサービス設定部12は、預り金残高情報照会信号を情報処理装置40に送信する(ステップS119)。預り金残高情報照会信号は、預り金残高情報を照会する信号であって、対象の預り金用のアカウントIDを含む。
次に、情報処理装置40は、預り金残高情報を通信監視装置10に送信する(ステップS120)。預り金残高情報は、対象の預り金用のアカウントの仮想通貨の残高を表す情報である。
そして、サービス設定部12は、預り金残高が有れば、利用サービステーブルRTの利用中フラグを「ON」に更新する。ここで、閾値をあらかじめ決めておき、預り金残高が閾値以上の場合に利用中フラグを「ON」に更新するようにしても良い。
通信監視装置10のサービス実行部13は、利用中フラグが「ON」になると、該当するセキュリティサービスの実行として、通信の監視を開始する。
続いて、端末30は、ブラウザを使用したサイトの閲覧などの利用者の操作を受けて、情報送信要求信号をサーバ70に送信する(ステップS121)。情報送信要求信号は、例えばHTTPリクエストデータである。
サーバ70は、応答として、情報を送信する(ステップS122)。応答の情報は、例えばHTTPレスポンスとしてのWEBサイトのHTML(HyperText Markup Language)データである。なお、サーバ70は、応答としてではなく、自発的に端末30に情報を送信しても良い。
通信監視装置10のサービス実行部13は、利用中となっているセキュリティサービスにより、例えば、当該情報に含まれている不正情報を検知する(ステップS123)。
サービス実行部13は、不正情報を検知すると、実行したセキュリティサービスに関連付けられた預り金用のアカウントIDを含む預り金残高情報照会信号を情報処理装置40に送信する(ステップS124)。
情報処理装置40は、預り金残高情報を通信監視装置10に送信する(ステップS125)。通信監視装置10のサービス実行部13は、預り金残高がセキュリティサービスのサービス利用料以上である場合、検知した不正情報の通信を遮断する(ステップS126)。
続いて、通信監視装置10の決済部14は、決済のためのサービス実行通知信号を生成する。サービス実行通知信号は、スマートコントラクトの実行のため、セキュリティサービスを実行した旨を情報処理装置40に通知するための信号である。決済部14は、決済部14が生成したサービス実行通知信号を情報処理装置40に送信する(ステップS127)。
情報処理装置40は、受信したサービス実行通知信号に基づいて、契約定義データのプログラムにしたがって、定義された契約を締結および実行する(ステップS128)。具体的には、前述の契約定義データの例では、セキュリティサービス(sv001)を実行した旨を表す信号を受信した場合、情報処理装置40は、預り金用のアカウント(basm1)からセキュリティサービスのアカウント(badsec)に、(10)通貨単位を送金する。
なお、図7の例では、通信監視装置10が、サーバ70から受信した情報に含まれる不正情報を検知し、不正情報を含む通信を遮断する例を説明したが、これに限定されない。
例えば、通信監視装置10は、端末30から受信した情報に、不正なサイトのURL(Uniform Resource Locator)等が含まれる場合には、この情報を含む通信を遮断しても良い。
つまり、通信監視装置10は、端末30の外部から不正情報が端末30に送信されることを防ぐために通信を遮断するサービス(第1のサービス)と、端末30が不正にサイトにアクセスすることを防ぐために通信を遮断するサービス(第2のサービス)とを提供しても良い。
第1のサービスは、例えば、図5のサービステーブルSTに示したファイヤウォール、IPS(Intrusion Prevention System)/IDS(Intrusion Detection System)等である。第2のサービスは、例えば、図5のサービステーブルSTに示した有害サイトブロック等である。
上述したステップS122において情報を受信してからの通信監視装置10の具体的な処理フローについて、図8を参照して説明する。以下では、セキュリティサービスが不正情報を検知して、検知した不正情報の通信を遮断するサービスである場合を例として説明する。なお、複数のセキュリティサービスを実行する場合は、以下の通信監視処理をセキュリティサービスごとに実行すれば良い。
通信監視装置10のサービス実行部13は、セキュリティサービスが利用中であるか否かを判定する(ステップS201)。セキュリティサービスが利用中であると判定すると(ステップS201:Yes)、受信した情報が不正情報であるか否かを判定する(ステップS202)。
そして、サービス実行部13は、受信した情報が不正情報であると判定すると(ステップS202:Yes)、預り金残高情報を取得する(ステップS203)。具体的には、サービス実行部13は、図7のステップS124の処理として預り金残高情報照会信号を情報処理装置40に送信し、情報処理装置40から預り金残高情報を受信することによって、預り金残高情報を取得する。
図8に戻り、続いて、サービス実行部13は、預り金残高がサービス料金以上であるか否かを判定する(ステップS204)。
サービス実行部13は、預り金残高がサービス料金以上であると判定すると(ステップS204:Yes)、不正情報の通信を遮断する(ステップS205)。そして、決済部14は、サービス実行通知信号を情報処理装置40に送信する(ステップS206)。
ステップS201において、サービス実行部13は、セキュリティサービスが利用中でないと判定すると(ステップS201:No)、セキュリティサービスを実行しない。したがって、通信監視装置10は、サーバ70から受信した情報をそのまま端末30に送信する(ステップS208)。
また、ステップS202において、サービス実行部13が、受信した情報が不正情報でないと判定すると(ステップS202:No)、通信監視装置10は、サーバ70から受信した情報をそのまま端末30に送信する(ステップS208)。
また、ステップS204において、サービス実行部13は、預り金残高がサービス料金以上でないと判定すると(ステップS204:No)、利用サービステーブルRTの当該セキュリティサービスに対応する利用中フラグを「OFF」に更新する(ステップS207)。そして、通信監視装置10は、ステップS208の処理に進む。
以上のように、本実施形態に係る通信監視システム1によれば、セキュリティサービスの実行ごとの利用料を、不正情報の通信を遮断するたびに、利用料の送金を要求することによって、不特定の利用者からサービスの対価を得ることができる。それによって、公衆ネットワークの事業者は、収益性の点から設備に投資しやすくなり、利用者がセキュリティサービスを享受できるようになる。
また、分散型台帳に記録されたセキュリティサービスの提供者用のアカウントに、仮想通貨による送金を受けることによって、不特定の利用者からセキュリティサービスの提供者への利用料の受け渡しが容易に実現できる。
また、スマートコントラクトの仕組みを利用して、セキュリティサービスの実行後に自動で送金する仕組みを採用することによって、セキュリティサービスの提供者が利用料の取得に必要な作業の負担を減らすことができる。
さらに、事前に預かった預り金がサービス利用料以上の金額であることを確認してからセキュリティサービスを実行することによって、セキュリティサービスの提供者がサービス利用料を得る確率を高めることができる。
本実施形態に係る通信監視装置10は、定期的に、利用サービステーブルRTの利用中フラグが「OFF」となっている端末30に対して、預り金の送金を促す通知信号を送信しても良い。それによって、利用者に、不足している預り金を補充するきっかけを与えることができる。
また、通信監視装置10の決済部14は、特定の条件を満たすと、預り金残高を利用者用のアカウントに返金する指示を表す信号、端末30に関するスマートコントラクトを終了させる指示を表す信号等を、情報処理装置40に送信しても良い。
その場合、通信監視装置10は、利用サービステーブルRTの該当するレコードを削除しても良い。
特定の条件とは、例えば、端末30からの要求信号を受信したこと、基準時間経過後に利用中フラグが「OFF」であること、基準時間以上通信が無いこと、端末30との通信が切断したこと等である。
それによって、預り金として預けた利用料が返却されないリスクが軽減するため、利用者が利用しやすいセキュリティサービスを提供できる。
端末30は、ステップS118において預り金送金指示信号を情報処理装置40に送信するとともに、利用者の操作を受けて、Eメールアドレス等の通知用の宛先を表す情報を、通信監視装置10に送信しても良い。
そして、ステップS128の契約締結・実行の後、通信監視装置10は、サービスの実行結果を通知用の宛先に送信しても良い。これによって、利用者はセキュリティサービスの実行結果を把握することができる。
(第二の実施形態)
以下に図面を参照して、第二の実施形態について説明する。第二の実施形態では、キャプティブポータル機能のかわりに、DHCPサーバが通信監視装置に通知する機能を有する点と、スマートコントラクト機能のかわりに、セキュリティサービスの実行後に決済されなかったサービスを中止する点とが、第一の実施形態と相違する。
よって、以下の第二の実施形態の説明では、第一の実施形態との相違点についてのみ説明し、第一の実施形態と同様の機能構成を有するものには、第一の実施形態の説明で用いた符号と同様の符号を付与し、その説明を省略する。
本実施形態において、各装置の間で送受信されるデータについて、図9を参照して説明する。
無線親機20の無線ネットワークの圏内において、端末30による無線ネットワークの利用を開始するための操作が行われた場合を想定する。
端末30は、利用者の操作を受けて、図9に示すように、無線親機20に接続要求信号を送信する(ステップS301)。無線親機20は、接続要求信号を受信すると、接続処理を実行する(ステップS302)。
無線親機20は、接続処理に成功すると、成功信号を端末30に送信する(ステップS303)。
次に、端末30は、IPアドレスの設定を要求する信号をDHCPサーバ50に送信する(ステップS304)。DHCPサーバ50は、端末30にIPアドレスを割り当てて、割り当てたIPアドレスを通知する信号を端末30に送信する(ステップS305)。
続いて、DHCPサーバ50は、接続設定通知信号を通信監視装置10に送信する(ステップS306)。通信監視装置10は、サービス選択要求信号を端末30に送信する(ステップS307)。サービス選択要求信号は、セキュリティサービスの選択を要求する信号である。
次に、端末30は、利用可能なセキュリティサービスを画面に表示して、利用者の選択を促す。ここで、端末30は、利用者が所有している利用者用のアカウントIDの入力を合わせて促す画面を表示する。そして、利用者の操作を受けると、端末30は、利用するセキュリティサービスを表すサービス選択信号と、利用者用のアカウントIDと、を通信監視装置10に送信する(ステップS308)。
通信監視装置10のサービス設定部12は、アクセス元のIPアドレスを特定して、特定したIPアドレスと、受信したサービス選択信号と、利用者用のアカウントIDと、に基づいて、利用サービステーブルRTにレコードを挿入する。ここで、サービス設定部12は、挿入するレコードの項目「利用中フラグ」の値を「OFF」とする。
続いて、端末30は、ブラウザを使用したサイトの閲覧などの利用者の操作を受けて、情報送信要求信号をサーバ70に送信する(ステップS309)。
サーバ70は、応答として、情報を送信する(ステップS310)。通信監視装置10のサービス実行部13は、当該情報を受信すると、利用中となっているセキュリティサービスとして、例えば、当該情報に含まれている不正情報を検知する(ステップS311)。
続いて、サービス実行部13は、検知した不正情報の通信を遮断する(ステップS312)。そして、決済部14は、送金要求信号を端末30に送信する(ステップS313)。
送金要求信号は、実行したセキュリティサービスの利用料を提供者用のアカウント(badsec)に送金する要求を表す信号である。
端末30は、利用者の操作を受けると、送金指示信号を情報処理装置40に送信する(ステップS314)。送金指示信号は、利用者用のアカウントから提供者用のアカウントへの仮想通貨の送金を指示する信号である。
情報処理装置40は、受信した送金指示信号に基づいて、送金処理を実行する(ステップS315)。
通信監視装置10は、ステップS313において送金要求信号を送信してから、あらかじめ規定された基準時間の経過後に、送金履歴情報照会信号を情報処理装置40に送信する(ステップS316)。送金履歴情報照会信号は、送金履歴情報を照会する信号であって、利用者用のアカウントIDと提供者用のアカウントIDとを含む。送金履歴情報は、利用者用のアカウントから提供者用のアカウントへの送金の内容を表す情報である。
情報処理装置40は、送金履歴情報を通信監視装置10に送信する(ステップS317)。そして、通信監視装置10の決済部14は、受信した送金履歴情報に基づいて、利用サービステーブルRTの利用中フラグを更新する(ステップS318)。具体的には、決済部14は、送金履歴情報が送金されていないことを表す場合には、利用中フラグを「OFF」に更新する。
上述したステップS310において、通信監視装置10が情報を受信してからの具体的な処理フローについて、図10を参照して説明する。以下では、セキュリティサービスが不正情報を検知して、検知した不正情報の通信を遮断するサービスである場合を例として説明する。なお、複数のセキュリティサービスを実行する場合は、以下の通信監視処理をセキュリティサービスごとに実行すれば良い。
通信監視装置10のサービス実行部13は、セキュリティサービスが利用中であるか否かを判定する(ステップS401)。
セキュリティサービスが利用中であると判定すると(ステップS401:Yes)、受信した情報が不正情報であるか否かを判定する(ステップS402)。
次に、サービス実行部13は、受信した情報が不正情報であると判定すると(ステップS402:Yes)、不正情報の通信を遮断する(ステップS403)。
続いて、決済部14は、送信要求信号を端末30に送信する(ステップS404)。そして、通信監視装置10は、一定時間待つ(ステップS405)。この一定時間を表す情報は、送金処理に必要な基準時間を表す情報としてあらかじめ記憶部11に格納されている。
次に、決済部14は、送金履歴情報を取得する(ステップS406)。具体的には、決済部14は、図9のステップS316に示したように、情報処理装置40に送金履歴情報照会信号を送信して、送金履歴情報を受信することによって、送金履歴情報を取得する。
図10に戻り、次に、決済部14は、送金履歴情報を参照して、送金されたか否かを判定する(ステップS407)。
決済部14は、送金されていないと判定すると(ステップS407:No)、不正情報を検知したサービスの利用フラグをOFFにする(ステップS408)。
一方、決済部14は、送金されたと判定すると(ステップS407:Yes)、そのまま処理を終了する。
ステップS401において、サービス実行部13は、セキュリティサービスが利用中でないと判定すると(ステップS401:No)、セキュリティサービスを実行しない。したがって、通信監視装置10は、サーバ70から受信した情報をそのまま端末30に送信する(ステップS409)。
また、ステップS402において、サービス実行部13が、受信した情報が不正情報でないと判定すると(ステップS402:No)、通信監視装置10は、サーバ70から受信した情報をそのまま端末30に送信する(ステップS409)。
本実施形態に係る通信監視システム1によれば、事前に契約の締結をしていないネットワーク利用者からのセキュリティサービスの利用料をサービス実行後に課金することができる。また、利用料を徴収できなかった場合にはセキュリティサービスを停止することによって、利用料の支払いを促し、現実的なシステムの運用が可能となる。
本実施形態に係る通信監視装置10の決済部14は、情報処理装置40に対して利用者用のアカウントの残高を問い合わせ、利用者用のアカウントの残高が利用料以上でない場合に、利用中フラグを「OFF」に更新しても良い。このようにすれば、支払いの見込みが無い利用者のセキュリティサービスを実行前に停止することができるため、セキュリティサービスの収益性を高くすることができる。
(変形例)
上述の各実施形態は、適宜組み合わせが可能である。例えば、第一の実施形態に係るスマートコントラクトを利用しながら、無線親機20のキャプティブポータル機能は利用せず、第二の実施形態に係る通信監視装置10のように、DHCPサーバ50から受信した接続設定通知信号に基づいてサービス選択要求信号を端末30に送信しても良い。
あるいは、第一の実施形態に係る無線親機20のキャプティブポータル機能は利用しながら、スマートコントラクトを利用せず、第二の実施形態に係る通信監視装置10のように、セキュリティサービスの実行後に送金要求信号を端末30に送信しても良い。
上述の各実施形態において、通信監視装置10は、セキュリティサービスの実行履歴と利用料の送金履歴とをブロックチェーンに登録するようにしても良い。第一の実施形態の場合は、通信監視装置10のサービス設定部12は、図7のステップS110においてサービス情報とともに、セキュリティサービスの実行履歴と利用料の送金履歴とを無線親機20に送信しても良い。無線親機20は、ステップS111においてサービス選択要求信号とともに、セキュリティサービスの実行履歴と利用料の送金履歴とを端末30に送信しても良い。
また、第二の実施形態の場合は、通信監視装置10のサービス設定部12は、ステップS307においてサービス選択要求信号とともに、セキュリティサービスの実行履歴と利用料の送金履歴とを端末30に送信しても良い。
さらに、第一の実施形態および第二の実施形態において、端末30は、受信したセキュリティサービスの実行履歴と利用料の送金履歴とを表示しても良い。このようにすれば、端末30の利用者は、過去に通信監視装置10が実行したセキュリティサービスに関する履歴情報を参考にして、セキュリティサービスを選択することができる。
上述の各実施形態において、端末30は、利用者の操作ではなく、あらかじめ設定された条件にしたがって、利用するセキュリティサービスを選択しても良い。このようにすれば、利用者の手間が省けるため、利便性が高い。
上述の各実施形態では、通信監視装置10が、サーバ70から端末30に送信される情報に不正情報が含まれていないかを検知して、検知した不正情報の端末30への送信を遮断する例を示した。しかし、本発明の範囲はこれに限られない。
例えば、通信監視装置10にあらかじめ不正なサーバについての情報が格納されていて、端末30からサーバへの通信において、当該サーバが不正なサーバであることを検知して、端末30から送信されるリクエスト等の通信を遮断しても良い。
また、不正情報を検知することは、情報自体が不正である場合を含む他、通信先、通信方法、通信元等が不正な場合も含む。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
また、上述した各実施形態の通信監視装置10および情報処理装置40は、例えば、PJ(Projector:プロジェクタ)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等であってもよい。
以上、各実施形態に基づき本発明の説明を行ってきたが、上記実施形態に示した要件に本発明が限定されるものではない。これらの点に関しては、本発明の主旨をそこなわない範囲で変更することができ、その応用形態に応じて適切に定めることができる。
1 通信監視システム
10 通信監視装置
11 記憶部
12 サービス設定部
13 サービス実行部
14 決済部
20 無線親機
30 端末
40 情報処理装置
50 DHCPサーバ
60 通信中継器
70 サーバ
80 インターネット
ST サービステーブル
RT 利用サービステーブル
特許第6224283号公報 特許第6218979号公報

Claims (10)

  1. 端末と外部との通信を監視し、前記通信に含まれる不正情報を検知した場合に、検知した前記不正情報の通信を遮断するサービスを実行するサービス実行部と、
    前記サービス実行部が前記不正情報の通信を遮断すると、前記サービスの実行ごとに定められた利用料を示す情報が格納された記憶部を参照し、前記利用料を情報処理装置に決済させる決済部と、を備える、
    通信監視装置。
  2. 前記決済部は、前記情報処理装置が記憶する分散型台帳に記録された前記サービスの提供者用のアカウントである第1のアカウントに対する仮想通貨の送金によって、前記利用料を前記情報処理装置に決済させる、
    請求項1に記載の通信監視装置。
  3. 前記端末による前記サービスの選択結果を取得して、取得した前記選択結果に基づいて、前記端末ごとに利用するサービスを設定するサービス設定部をさらに備える、
    請求項2に記載の通信監視装置。
  4. 前記サービス設定部は、前記サービスを実行した場合に前記仮想通貨の送金をするという規定を表す契約定義データを、前記情報処理装置に送信し、
    前記決済部は、前記サービス実行部が前記不正情報の通信を遮断すると、前記サービスを実行した旨を通知する信号を、前記情報処理装置に送信する、
    請求項3に記載の通信監視装置。
  5. 前記サービス実行部は、前記不正情報を検知した場合に、前記分散型台帳に作成された預り金用のアカウントである第2のアカウントに、前記端末の利用者用のアカウントである第3のアカウントから送金された預り金の残高を表す残高情報を取得して、取得した前記残高情報が表す前記預り金の前記残高が前記サービスの実行ごとの前記利用料以上の金額である場合に前記サービスを実行し、
    前記決済部は、前記第2のアカウントから前記第1のアカウントに対する前記仮想通貨の前記送金によって、前記利用料を前記情報処理装置に決済させる、
    請求項4に記載の通信監視装置。
  6. 前記決済部は、基準時間以上前記端末と外部との通信が無い場合には、前記第2のアカウントから前記第3のアカウントに返金する指示を表す信号を、前記情報処理装置に送信する、
    請求項5に記載の通信監視装置。
  7. 前記決済部は、前記サービス実行部が前記サービスを実行した場合に、前記第1のアカウントに対する前記仮想通貨の送金を要求する信号を前記端末に送信し、送金が基準時間以内にされなかった場合には、前記端末への前記サービスを停止する、
    請求項3に記載の通信監視装置。
  8. 前記サービス設定部は、前記サービスの実行履歴と前記利用料の送金履歴とを表す履歴情報を前記分散型台帳から取得して、取得した前記履歴情報を前記端末に送信する、
    請求項7に記載の通信監視装置。
  9. 通信監視装置と、情報処理装置と、を備える通信監視システムであって、
    前記通信監視装置は、
    端末と外部との通信を監視し、前記通信に含まれる不正情報を検知した場合に、検知した前記不正情報の通信を遮断するサービスを実行するサービス実行部と、
    前記サービス実行部が前記不正情報の通信を遮断すると、前記サービスの実行ごとに定められた利用料を示す情報が格納された記憶部を参照し、前記利用料を前記情報処理装置に決済させる決済部と、を備える、
    通信監視システム。
  10. 通信監視装置が、
    端末と外部との通信を監視し、前記通信に含まれる不正情報を検知した場合に、検知した前記不正情報の通信を遮断するサービスを実行し、
    前記不正情報の通信を遮断すると、前記サービスの実行ごとに定められた利用料を示す情報が格納された記憶部を参照し、前記利用料を情報処理装置に決済させる、
    通信監視方法。
JP2019209909A 2019-11-20 2019-11-20 通信監視装置、通信監視システムおよび通信監視方法 Pending JP2021082080A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019209909A JP2021082080A (ja) 2019-11-20 2019-11-20 通信監視装置、通信監視システムおよび通信監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019209909A JP2021082080A (ja) 2019-11-20 2019-11-20 通信監視装置、通信監視システムおよび通信監視方法

Publications (1)

Publication Number Publication Date
JP2021082080A true JP2021082080A (ja) 2021-05-27

Family

ID=75965304

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019209909A Pending JP2021082080A (ja) 2019-11-20 2019-11-20 通信監視装置、通信監視システムおよび通信監視方法

Country Status (1)

Country Link
JP (1) JP2021082080A (ja)

Similar Documents

Publication Publication Date Title
US11861680B2 (en) Systems, methods, and manufactures for beacon triggered device to device content transfer
US9125059B2 (en) Password-free, token-based wireless access
WO2017054624A1 (zh) 资源抵扣方法、装置、智能终端和抵扣服务器
CN111355732B (zh) 链接检测方法、装置、电子设备及存储介质
WO2017185349A1 (zh) 基于近场通信nfc的交易方法和设备
WO2005103919A1 (ja) ユーザ認証システム及びこれを用いたデータ提供システム
JP6951095B2 (ja) 親端末、子端末、決済処理方法、およびプログラム
CN110585698B (zh) 一种虚拟资产交易的方法以及相关装置
WO2015025353A1 (ja) 携帯装置、携帯装置の制御方法、記録媒体、及びプログラム
JP3770897B2 (ja) 商品サーバ、購入代金決済方法、商品購入方法並びにコンピュータプログラム
JP2006195791A (ja) 情報処理システム、情報処理装置および方法、情報提供装置および方法、並びにプログラム
CN105931044A (zh) 移动支付激活方法及装置
JP4340241B2 (ja) 利用者認証プログラム、利用者認証方法、利用者認証装置および利用者認証システム
JP5991143B2 (ja) 情報処理装置、システム及び情報登録方法
JP5339316B1 (ja) 識別情報管理システム、識別情報管理システムの制御方法、情報処理装置、及びプログラム
JP2020109643A (ja) メッセンジャー基盤の銀行口座取引履歴に関連するユーザが使いやすいインタフェースを提供する方法、システム、および非一時的なコンピュータ読み取り可能な記録媒体
JP2021082080A (ja) 通信監視装置、通信監視システムおよび通信監視方法
JP5156064B2 (ja) 個人特定id管理システム
JP6109675B2 (ja) 決済システム及び決済方法
JP6085114B2 (ja) 携帯決済端末装置、決済処理方法、およびプログラム
JP2021117957A (ja) ポイント交換方法、ポイント交換システム及びプログラム
JP5770354B1 (ja) サーバシステム及びリクエスト実行制御方法
JP5250012B2 (ja) コンテンツ流通方法提供システム、コンテンツ流通方法、サーバ装置及びプログラム
JP5937362B2 (ja) 閲覧登録システム、システム運営者サーバ、及びコンテンツ提供サーバ
JP2007334521A (ja) 取引先管理装置及び取引先管理方法